|
Artikelserie Backup-Strategien · Teil 4 von 7 Cloud-Backup — IaaS-Storage, M365-Backup, DRaaS, DSGVOWie Cloud-Backup im B2B funktioniert — Anbieter, Architektur, Compliance Object Storage · SaaS-Backup · DRaaS · Datenresidenz · DSGVO · Verschlüsselung |
|
Inhalt dieses Teils |
Was Cloud-Backup im B2B leistet
In der 3-2-1-Regel verlangt der dritte Punkt eine Backup-Kopie außer Haus. Vor 15 Jahren bedeutete das: Tape in den Tresor oder zur Bank. Heute ist das in vielen Fällen ein Cloud-Repository — schneller, einfacher und ohne logistischen Aufwand. Cloud-Backup ersetzt aber nicht die lokalen Sicherungen aus Teil 3: Restore aus der Cloud kostet Bandbreite, Zeit und häufig Egress-Gebühren. Sinnvoll ist ein hybrides Konzept: lokal schnell und günstig für Daily/Weekly, Cloud für die Off-Site-Kopie und Disaster Recovery (mehr in Teil 5).
Drei Kategorien von Cloud-Backup
Wenn jemand „Cloud-Backup“ sagt, kann das drei sehr unterschiedliche Dinge meinen. Sauber unterschieden:
| 1. IaaS-Object-Storage Backup-Software läuft on-premise, schreibt Sicherungen in Cloud-Object-Storage (S3, Azure Blob, Wasabi, IONOS, OVH). Kontrolle über Software, Verschlüsselung, Keys. | 2. SaaS-Backup Drittanbieter sichert eine SaaS-Anwendung (M365, Google Workspace, Salesforce). Keine eigene Hardware nötig — Microsoft & Google sichern die Plattform, nicht den Inhalt. | 3. DRaaS Disaster Recovery as a Service: Zusätzlich zu Backup wird eine vorbereitete Failover-Umgebung in der Cloud bereitgehalten. Im Ernstfall läuft der Server-Betrieb innerhalb von Minuten weiter. |
IaaS-Object-Storage als Backup-ZielVOLLE KONTROLLE IMMUTABLE MÖGLICH EGRESS-KOSTEN BEACHTEN Die etablierten Backup-Suites (Veeam, Acronis, Veritas, Bareos) unterstützen S3-kompatibles Object Storage als Sekundär- oder Tertiär-Repository. Konkret bedeutet das: Lokal läuft das primäre Backup auf NAS, anschließend wird per „Backup Copy Job“ eine Kopie in die Cloud geschoben. Die Cloud-Kopie kann mit S3 Object Lock (WORM-Modus) versehen werden — dann ist sie für die konfigurierte Retention-Dauer unlöschbar, selbst für Administratoren mit kompromittierten Credentials. Das ist die wirksamste Verteidigung gegen Ransomware. Kostentreiber: Storage selbst ist günstig (Wasabi/IONOS ab ca. 5 €/TB/Monat), aber Egress-Gebühren beim Restore können erheblich sein (AWS S3: ca. 0,09 €/GB nach den ersten 100 GB). Wasabi und Backblaze B2 sind hier deutlich kundenfreundlicher (kein Egress oder pauschal). Vor der Anbieter-Wahl unbedingt eine konkrete Restore-Simulation rechnen. |
SaaS-Backup — Microsoft 365 und Google WorkspacePFLICHT, KEINE OPTION VIELE UNTERSCHÄTZEN DAS Microsoft sichert die Microsoft-365-Plattform — aber nicht Ihre Daten in der Plattform. Eine versehentlich gelöschte Mailbox, ein Verschlüsselungsangriff auf SharePoint oder die böswillige Ex-Mitarbeiter-Aktion sind klassische SaaS-Backup-Fälle. Microsoft selbst empfiehlt deshalb in den Service-Bedingungen ausdrücklich ein Drittanbieter-Backup. Der typische Funktionsumfang einer SaaS-Backup-Lösung:
Anbieter: Veeam Backup for Microsoft 365, Acronis Cyber Protect Cloud, AvePoint Cloud Backup, Synology Active Backup for Microsoft 365 (läuft on-premise auf einem NAS), Hornetsecurity 365 Total Backup. Die Synology-Variante ist für KMU oft die wirtschaftlichste, weil keine Cloud-Subscription-Gebühren anfallen — nur das NAS und genügend Speicherplatz. |
DRaaS — Disaster Recovery as a ServiceRTO IM MINUTENBEREICH PREMIUM-PREIS DRaaS geht einen Schritt weiter als reines Cloud-Backup: Der Anbieter hält nicht nur die Sicherungen vor, sondern eine vorbereitete Failover-Umgebung. Im Schadenfall werden Ihre VMs in der Anbieter-Cloud gestartet und sind innerhalb weniger Minuten produktiv erreichbar — bis Ihre eigene Infrastruktur wiederhergestellt ist. Das löst den klassischen Konflikt zwischen niedrigem RTO und niedrigen Kosten für Standby-Hardware. Für kritische Systeme (ERP, Online-Shop, Patientendaten) eine echte Option, für Standard-Workloads häufig überdimensioniert. |
DSGVO, Datenresidenz und Cloud Act
Cloud-Backup führt zu einer Auftragsverarbeitung im Sinne der DSGVO — immer. Pflicht ist deshalb mindestens:
- AV-Vertrag mit dem Cloud-Anbieter (Art. 28 DSGVO)
- Klarheit über Speicherorte (in der EU/EWR oder Drittland?)
- TOM-Dokumentation (technisch-organisatorische Maßnahmen) des Anbieters
- Verschlüsselung der Backup-Daten vor dem Upload (Client-Side Encryption mit eigenem Key)
- Löschkonzept mit nachweisbarer Löschung am Ende der Aufbewahrung
Bei US-Hyperscalern (AWS, Azure, Google) ist außerdem der US Cloud Act relevant: US-Behörden können von US-Konzernen die Herausgabe von Daten verlangen, auch wenn diese in Europa gespeichert sind. Für besonders sensible Daten (Gesundheit, Strafverfolgung, Behörden) sind deshalb europäische Anbieter — IONOS, OVH, Hetzner, Wasabi (EU Region), Scaleway, STACKIT — in vielen Fällen die rechtssicherere Wahl. Das BSI gibt im Kriterienkatalog C5 detaillierte Anforderungen vor.
Cloud-Backup-Anbieter im Überblick
| Anbieter | Typ | Standort | Stärken |
|---|---|---|---|
| AWS S3 / Glacier | IaaS Object | global, EU-Regions | Marktstandard, beste Tooling-Integration |
| Azure Blob / Archive | IaaS Object | global, EU-Regions | M365-Integration, Hybrid Azure Stack |
| Wasabi Hot Cloud | IaaS Object | EU (Amsterdam, Frankfurt) | Pauschalpreis, kein Egress, S3-kompatibel |
| Backblaze B2 | IaaS Object | USA, EU (Amsterdam) | Günstig, transparente Preise |
| IONOS Cloud Storage | IaaS Object | Deutschland | DSGVO-fest, deutscher Support |
| OVH Cloud Archive | IaaS Cold | Frankreich, Deutschland | Günstigster Cold-Storage in der EU |
| Veeam Cloud Connect | Backup-Service | via Service-Provider | Vollintegrierte Veeam-Lösung |
| Acronis Cyber Cloud | All-in-One | global, DE-Region | Backup + Anti-Malware integriert |
| Hornetsecurity 365 | SaaS-Backup | Deutschland | M365-Spezialist, DE-Hosting |
Kostenstruktur verstehen
Cloud-Backup wird häufig zur Kostenfalle, weil der Storage-Preis in den Marketing-Materialien steht, die vier weiteren Kosten-Komponenten aber nicht. Insbesondere die Egress-Gebühren werden gerne übersehen: Als Egress bezeichnet man jeden Datenverkehr, der aus dem Cloud-Rechenzentrum heraus zum Kunden fließt — also genau das, was beim Restore passiert. Ein 1-TB-Restore aus AWS S3 kostet bei einem Egress-Tarif von 0,09 €/GB schnell rund 90 € pro Restore-Vorgang — zusätzlich zu den laufenden Speichergebühren. Achten Sie auf die folgenden fünf Posten:
| Storage | Preis pro GB pro Monat. Bei Cold/Archive deutlich günstiger, aber mit Mindestaufbewahrungs-Frist. |
| Egress | Kosten für ausgehenden Datenverkehr (Restore!). Der wichtigste versteckte Kostenfaktor bei AWS/Azure/Google. |
| API-Calls | Bei kleinteiligen Backups (viele kleine Dateien) können PUT/GET-Calls signifikant werden. |
| Restore-Gebühr | Bei Glacier/Archive zusätzlich zur Egress noch eine „Retrieval-Fee“ pro abgerufenem GB. |
| Lizenzen | Backup-Software-Lizenz (Veeam, Acronis): pro Workload, pro Socket oder pro VM. Häufig der größte Posten. |
Faustregel KMU mit 5 TB Backup-Daten in der Cloud (mit deutschem DSGVO-Anbieter, monatliche Vollsicherung): rund 50–200 €/Monat reine Storage-Kosten. Plus Backup-Software-Lizenz, plus interne Bandbreite. Für Restore eines 1 TB-Sets sollten 4–24 Stunden Bandbreite eingeplant werden.
Häufige Fragen
Reicht Cloud allein, ohne lokales Backup?
Theoretisch ja, praktisch nein. Restore aus der Cloud ist bandbreitenlimitiert — bei 1 TB und symmetrischer 100 Mbit-Leitung sprechen wir von ~24 Stunden im Idealfall. Für RTO unter einem Tag braucht es zwingend lokales Restore-Material. Cloud ist die Sekundär-/Tertiär-Schicht, nicht die primäre.
Schützt Cloud-Backup vor Ransomware?
Nur mit der richtigen Konfiguration. Eine SMB-Freigabe in die Cloud ist genauso angreifbar wie lokal. Wirksam wird Cloud-Backup als Ransomware-Schutz erst durch Object Lock / Immutability (S3 Object Lock, Azure Blob Versioning mit Legal Hold) und ein streng getrennten Cloud-Account ohne Überschneidung mit produktiven Berechtigungen.
Wer hat Zugriff auf meine Cloud-Backups?
Bei Client-seitig verschlüsselten Backups (eigener Key, der Anbieter sieht nur Chiffrate): nur Sie und ggf. Personen mit dem Schlüssel. Bei Server-seitig verschlüsselten Daten technisch auch der Anbieter und im Cloud-Act-Fall die zuständige Behörde. Für besonders sensible Daten daher zwingend Client-Side Encryption mit eigener Key-Verwaltung (KMS).
Brauche ich SaaS-Backup für M365 wirklich?
Ja. Microsoft sichert die Plattform-Verfügbarkeit, nicht Ihre Daten. Versehentliches Löschen, Ransomware in OneDrive, böswilliges Verhalten von Mitarbeitern oder fehlerhafte Skripte sind mit Microsoft-Bordmitteln nur eingeschränkt wiederherstellbar (typisch 30–90 Tage Papierkorb, keine granulare Item-Recovery, keine Cross-Tenant-Restores).
Beratung zu Cloud-Backup und hybriden KonzeptenSie wollen ein Cloud-Backup neben Ihre lokale Sicherung aufsetzen oder prüfen, ob Ihr aktueller Schutz DSGVO-konform ist? Wir helfen bei der Anbieterauswahl und der Integration in Ihre vorhandene NAS- oder Backup-Software-Umgebung. Telefon: +49 (0)7666 / 88499-0 · E-Mail: vertrieb@industry-electronics.de |
Passende Shop-Kategorien
| Lokale Backup-HardwareStorage NAS Storage-Server Storage SAN |
Backup-SoftwareBackup-Lösungen Datensicherheit |
Server & NetzwerkServer · Rack-Server USV (alle) |
Weitere Teile dieser Serie
|
Sie sind hier: Teil 4 — Cloud-Backup (IaaS, SaaS-Backup, DRaaS, DSGVO) |
Verwandter Beitrag: RAID-Level und ihre Bedeutung
Stand: April 2026 · Lieske Elektronik · industry-electronics.de